本发明专利技术提供了一种基于视频流的windows远程登陆协议入侵检测方法及系统,通过采取视频推流的方式,将本地保存的文件以直播的形式传输到服务器上,通过推流将视频数据传输到服务器上,采用centos操作系统上安装nginx作容器,作为核心的服务器,采用rtmp协议,作为拉流端,在视频数据于windows推流端产生之后可作保存。利用本发明专利技术的方法,可以实时上传保存录屏数据,防止被入侵者删除,同时可以及时录制视频,控制录制和停止录制视频的时间,做到让入侵者察觉不到的同时成功取证,节约录屏时的资源。
Intrusion detection method and system of windows remote login protocol based on video stream
【技术实现步骤摘要】
基于视频流windows远程登陆协议入侵检测方法及系统
本专利技术涉及信息安全
,尤其涉及一种基于视频流的windows远程登陆协议入侵检测方法及系统。
技术介绍
目前针对windows录屏无较好的触发方式,只能通过人工手动点击程序操作,且往往需要一直开启录屏程序,对资源消耗很大,无法在入侵者通过rdp协议进入远程桌面的瞬间进行屏幕录制,以及在入侵者断开rdp协议,退出远程桌面的瞬间同时终止屏幕录制。同时现有视频录制方案都是保存为mp4或avi格式,在录制过程中,若被非正常终止,录制的视频文件将损坏,无法播放。现有的录制方案都是将录制文件保存在本地,录制完成后上传到服务端,无法实时同步到服务端,若录制的文件被入侵者发现,将导致被删除,无法起到入侵检测,事件回放作用。
技术实现思路
针对以上现有问题,本专利技术提出一种基于视频流windows远程登陆协议入侵检测方法及系统,采用调用计划任务程序,自定义创建计划,与windows远程连接打开与否建立联系,做到及时录制视频的同时防止产生资源浪费,同时采取视频推流的方式,将本地保存的文件以直播的形式传输到服务器上,避免文件被损坏无法播放或者被入侵者删除。本专利技术的原理是:采用调用计划任务程序,自定义创建计划,与windows远程连接打开与否建立联系。只要入侵者通过rdp协议远程连接windows端,则触动计划任务开启视频录制程序,远程连接端口断开连接时,系统自动触发计划任务,立即停止视频录制程序,通过推流将视频数据传输到服务器上;采用centos操作系统上安装nginx作容器,作为核心的服务器,采用rtmp协议,作为拉流端,在视频数据于windows推流端产生之后可作保存。为达成上述功能,本专利技术所采用的优选技术方案如下:优选技术方案一种基于视频流windows远程登陆协议入侵检测方法,所述该方法包括以下步骤:S01、配置nginx拉流端账户,下载rtmp-module,安装nginx服务器,配置niginx,添加rtmp服务,配置目录权限,启动nginx服务器,从流媒体服务器获取音频或视频数据,配置实现拉流的模块功能;S02、配置windows推流端,下载配置录屏软件,安装screen-capture-recorder,下载安装ffmpeg;S03、创建任务计划程序,控制录屏和停止录屏的时机;S04、开始执行任务计划,所述任务计划是根据程序进行的自动化作业;S05、系统中的计划程序判定入侵者通过远程连接windows沙箱端,则触动计划任务,沙箱端开启视频录制程序,将屏幕上的动作录制保存到硬盘上,并转化为流数据,流数据通过RTMP协议传送到拉流端;S06、在开始录屏之后判断远程连接的状态是通过读取windows日志记录实现的,读取的日志记录为:Microsoft-Windows-TerminalServices-LocalSessionManager/Operational,日志的来源是windows自带的服务,TerminalServices-LocalSessionManager,实时地判断远程连接与否的状态,3389端口连接的状态是记录事件id为25,断开为24,则判断远程连接断开;S07、判断远程连接端口断开连接时,系统自动触发计划任务,关闭屏幕录制单元停止视频录制程序。优选技术方案一种基于视频流windows远程登陆协议入侵检测系统,所述基于视频流的windows远程登陆协议入侵检测系统,包括服务器、nginx拉流端模块,windows推流端模块,任务计划程序模块,其中:所述nginx拉流端模块,用于配置实现拉流的模块功能,所述windows推流端模块,用于下载配置录屏软件,所述任务计划程序模块,用于控制录屏和停止录屏的时机。优选技术方案一种基于视频流windows远程登陆协议入侵检测系统,所述核心服务器采用centos操作系统上安装nginx作容器,采用rtmp协议,作为拉流端,在视频数据于windows推流端产生之后可作保存处理。优选技术方案一种基于视频流windows远程登陆协议入侵检测系统,所述任务计划程序模块,自定义创建计划,与windows远程连接打开与否建立联系。优选技术方案一种基于视频流windows远程登陆协议入侵检测系统,所述任务计划程序模块可将任务计划与日志信息联系,使得管理员可以通过日志内容知道系统是否被入侵。优选技术方案一种基于视频流windows远程登陆协议入侵检测系统,所述系统判定入侵者通过rdp协议远程连接windows端,则触动计划任务开启视频录制程序,远程连接端口断开连接时,系统自动触发计划任务,立即停止视频录制程序。优选技术方案一种基于视频流windows远程登陆协议入侵检测系统,所述系统通过推流将录屏视频数据实时传输到服务器上。优选技术方案一种基于视频流windows远程登陆协议入侵检测系统,所述任务计划程序模块调用windows原生系统底层的程序技术实现。本专利技术与现有技术相比具有以下有益效果:1、本专利技术方法采用视频推流的方式保存入侵者入侵系统时的入侵过程录屏数据,保证了视频文件不会因为录制程序的突然停止而损坏,同时视频保存于服务器端能够更加安全地保存证据;2、本专利技术方法由于是调用windows系统底层的程序,对windows系统的监控和操作更可靠,并且本专利技术可以将任务计划与日志信息联系,使得管理员可以通过日志内容知道系统是否被入侵,如果入侵者想到了清除日志,管理员仍然可以通过视频了解入侵过程,如果入侵者没有想到清除日志,管理员可以更加方便地知道是否发生了入侵事件,同时极大解放了人力,提高了时效性。附图说明图1是本专利技术实施例提供的基于视频流windows远程登陆协议入侵检测方法流程示意图。具体实施方式下面结合附图和实施例对本专利技术做进一步的说明。可以理解的是,此处所述描述的具体实施例仅仅用于解释本专利技术实施例,而非本专利技术实施例的限定。另外还需要说明的是,为了便于描述,附图中仅显示出了与本专利技术实施例相关的部分而非全部结构。本专利技术提供了一种基于视频流windows远程登陆协议入侵检测方法及系统,通过采取视频推流的方式,将本地保存的文件以直播的形式传输到服务器上,通过推流将视频数据传输到服务器上,采用centos操作系统上安装nginx作容器,作为核心的服务器,采用rtmp协议,作为拉流端,在视频数据于windows推流端产生之后可作保存远程登陆协议入侵检测方法和系统。图1是本专利技术实施例提供的一种基于视频流windows远程登陆协议入侵检测方法流程示意图,所述一种基于视频流的windows远程登陆协议入侵检测方法,其包括以下步骤:S01、配置nginx拉流端账户,下载rtmp-module,安装nginx服务器,配置niginx,添加rtmp服务,配置目录权限,启动nginx服务器,从流媒体服务器获取音频或视频数据,配本文档来自技高网...
【技术保护点】
1.基于视频流windows远程登陆协议入侵检测方法,其特征在于,该方法包括以下步骤:/nS01、配置nginx拉流端账户,下载rtmp-module,安装nginx服务器,添加rtmp服务,配置目录权限,启动nginx服务器,从流媒体服务器获取音频或视频数据,配置实现拉流的模块功能;/nS02、配置windows推流端,下载配置录屏软件,安装screen-capture-recorder,下载安装ffmpeg;/nS03、创建任务计划程序,控制录屏和停止录屏的时机;/nS04、开始执行任务计划,所述任务计划是根据程序进行的自动化作业;/nS05、系统中的计划程序判定入侵者通过远程连接windows沙箱端,则触动计划任务,沙箱端开启视频录制程序,将屏幕上的动作录制保存到硬盘上,并转化为流数据,流数据通过RTMP协议传送到拉流端;/nS06、在开始录屏之后判断远程连接的状态是通过读取windows日志记录实现的,读取的日志记录为:Microsoft-Windows-TerminalServices-LocalSessionManager/Operational,日志的来源是windows自带的服务,TerminalServices-LocalSessionManager,实时地判断远程连接与否的状态,3389端口连接的状态是记录事件id为25,断开为24,则判断远程连接断开;/nS07、判断远程连接端口断开连接时,系统自动触发计划任务,关闭屏幕录制单元停止视频录制程序。/n...
【技术特征摘要】
1.基于视频流windows远程登陆协议入侵检测方法,其特征在于,该方法包括以下步骤:
S01、配置nginx拉流端账户,下载rtmp-module,安装nginx服务器,添加rtmp服务,配置目录权限,启动nginx服务器,从流媒体服务器获取音频或视频数据,配置实现拉流的模块功能;
S02、配置windows推流端,下载配置录屏软件,安装screen-capture-recorder,下载安装ffmpeg;
S03、创建任务计划程序,控制录屏和停止录屏的时机;
S04、开始执行任务计划,所述任务计划是根据程序进行的自动化作业;
S05、系统中的计划程序判定入侵者通过远程连接windows沙箱端,则触动计划任务,沙箱端开启视频录制程序,将屏幕上的动作录制保存到硬盘上,并转化为流数据,流数据通过RTMP协议传送到拉流端;
S06、在开始录屏之后判断远程连接的状态是通过读取windows日志记录实现的,读取的日志记录为:Microsoft-Windows-TerminalServices-LocalSessionManager/Operational,日志的来源是windows自带的服务,TerminalServices-LocalSessionManager,实时地判断远程连接与否的状态,3389端口连接的状态是记录事件id为25,断开为24,则判断远程连接断开;
S07、判断远程连接端口断开连接时,系统自动触发计划任务,关闭屏幕录制单元停止视频录制程序。
2.基于视频流windows远程登陆协议入侵检测系统,其特征在于,所述基于视频流的windows远程登陆协议入侵检测系统,包括服务器、n...
【专利技术属性】
技术研发人员:宋彦春,郑昭翼,
申请(专利权)人:江苏创宇盾安全技术有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。